关闭

阻止“IIS短文件名泄露”

标签: .net
2687人阅读 评论(0) 收藏 举报
分类:

1.    简介:Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。

2.    检测方法:http://www.xxxx.com/defaul*~1*/.aspx,将log换成你的文件名的前几位,如返回404则代表文件存在,如返回bad request则代表文件不存在,如有以上现象,则存在此漏洞。

3.    修复方法:修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值为1,重启服务器。

4.    注意:此修改只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除,可选择将网站文件删除,再重新上传即可解决此问题。升级.net framework v4.0无帮助。重新命名网站主目录无帮助。

5.    已存在的网站对后设置的会不起作用,解决方法是可以删除文件然后再把文件拷贝回来。

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:54830次
    • 积分:1232
    • 等级:
    • 排名:千里之外
    • 原创:73篇
    • 转载:1篇
    • 译文:0篇
    • 评论:1条
    文章分类